Banco Central: autoridade monetária informa novas regras para fintechs, com o objetivo de coibir ataques e fraudes (Raphael Ribeiro/BCB/Flickr)
Repórter de finanças
Publicado em 5 de setembro de 2025 às 12h07.
Última atualização em 5 de setembro de 2025 às 13h06.
O Banco Central (BC) anunciou hoje, em coletiva, novas medidas de reforço da segurança do Sistema Financeiro Nacional. O movimento ocorre após três ataques hackers nos últimos meses.
O mais recente aconteceu na segunda-feira, 2, e hackers desviaram R$ 4,9 milhões da conta reserva da fintech gaúcha Monbank (nome fantasia da Monetarie). O caso se soma a outros dois incidentes deste ano, um contra a C&M Software e outro contra a Sinqia.
“A gente escuta falar em uma ligação entre crime organizado e Faria Lima, crime organizado e fintechs, mas quero deixar bem claro, Faria Lima ou fintechs são as vítimas do crime organizado. Essas medidas são para endereçar problemas gerados pelo crime organizado”, disse Gabriel Galípolo, presidente do BC.
Entre as mudanças está a limitação do valor do TED e Pix para R$ 15 mil por operação para instituições de pagamento sem licença. O sistema do BC vai travar transações acima desse valor a partir das 21h desta sexta-feira, 5. Não havia limite estabelecido anteriormente.
“Boa parte dessas tentativas de fraude que ocorreram, o volume de Pix ou TED que tentam fazer são bastante altos, e ao restringir esse limite, você vai forçar mais transações, o que tende a ser capturado mais rápido [pelo BC]”, afirma Galípolo.
A restrição será suspensa assim que o participante e o PSTI responsável comprovarem o cumprimento dos novos protocolos de segurança. De forma temporária, instituições que demonstrarem já ter adotado controles de segurança da informação poderão ficar isentas da limitação por até 90 dias. A regra passa a valer de imediato.
Outra medida anunciada é que nenhuma instituição de pagamento poderá começar a operar sem autorização prévia do Banco Central. O prazo para empresas que não possuem licença se regularizarem foi antecipado para maio de 2026, enquanto o inicial era dezembro de 2029.
Com as novas alterações, apenas bancos e financeiras de maior porte (segmentos S1 a S4) poderão ser responsáveis pelo Pix de empresas que ainda não tenham autorização própria do regulador, excluindo cooperativas desse papel.
Os contratos existentes terão de ser adaptados em até 180 dias. “Se a instituição tiver seu pedido indeferido, deve encerrar sua atividade em 30 dias”, informa Galípolo. As novas medidas já estão em vigor.
O Banco Central também elevou as exigências para o credenciamento dos Provedores de Serviços de Tecnologia da Informação (PSTI). Agora, essas empresas deverão cumprir regras mais rígidas de governança e gestão de riscos, além de manter capital mínimo de R$ 15 milhões — hoje, não existia exigência mínima. O descumprimento poderá resultar em medidas cautelares ou até no descredenciamento.
A C&M Software, provedora de tecnologia para o setor financeiro, foi a primeira a sofrer o ataque cibernético, considerado o maior já registrado no sistema bancário brasileiro. Estimativas de jornais apontam perdas que podem variar entre R$ 400 milhões e R$ 1 bilhão, mas os números não foram confirmados oficialmente pelo BC.
O ataque de julho afetou clientes como BMP, Banco Paulista e Credsystem, que tiveram serviços de Pix suspensos temporariamente. Na época, a C&M afirmou colaborar com o BC e a Polícia Civil de São Paulo nas investigações e disse ter reforçado protocolos internos de segurança para evitar novos incidentes.
No dia 29 de agosto, o segundo ataque hacker foi confirmado, desta vez aos sistemas da Sinqia, empresa de banking as a service. A invasão resultou no desvio de R$ 420 milhões. Por volta das 15h30 daquele dia, o problema foi identificado pelo BC, que logo cortou o acesso da empresa ao sistema financeiro nacional. Os hackers retiraram R$ 380 milhões do HSBC e outros R$ 40 milhões de uma associação de crédito direto, a Artta.
Na terça-feira, a gaúcha Monbank, nome fantasia da Monetarie, também foi alvo de um ataque hacker que resultou no desvio de R$ 4,9 milhões de sua conta de reserva. Mas, diferentemente dos casos anteriores, a invasão não afetou a infraestrutura do Pix, e sim a do TED. Na coletiva, Galípolo afirmou que “nenhuma instituição do BC foi comprometida" e que nenhum cidadão sofreu prejuízos.